论文部分内容阅读
“网络钓鱼”(Phishing)兴起于2005年,绝对称得上是Internet上除病毒之外的“二号人物”,最近仍然异常活跃。中国反钓鱼联盟宣布截至2009年10月22日已认定并处理的钓鱼网站域名累计已达到8342个,其中腾讯、淘宝和工商银行位列钓鱼对象的前三位,针对这三大网站的网络钓鱼占举报总量的80%以上。钓鱼网站通过伪装成银行、电子商务等类型的网站的方式来窃取访问者所提交的账号和密码信息,从而达到非法目的,危害极大。“网络钓鱼”一词源于真正的“钓鱼”(Fishing),二者发音一致,意指攻击者通过发送欺骗性E-mail或伪造Web页面等手段来骗取他人的银行卡号等各种账户信息并非法占有。
一、常见的网络钓鱼方式有两种:
1.管理员式E-mail法
不少用户收到一些看似自己注册E-mail网站管理者的来信,比如发信人把自己伪装成sohu_master@sohu.com,信的内容则充分利用了社会工程心理学的知识来骗取用户的信任,比如:
“亲爱的XXX搜狐用户:
由于系统升级的原因,我们近期准备对所有的用户信箱进行扩容、提速整理。请务必在收到此信后3天内将您的账号及密码回复给我们,由此给您带来的麻烦及种种不便,敬请原谅,多谢您的真诚合作!
SOHU管理员MASTER”
当用户按来信的要求回复后,就等于把自己的账号和密码拱手让人了。千万记住一点:任何E-mail管理者都不会向用户索取账号和密码!类似的还有通过QQ甚至手机短信来诈骗,好多人的QQ号也会因此而不翼而飞了。
2.李鬼Web银行页面
这是对用户造成经济损失最大的恶劣手段,攻击者通过各种传播方式给用户一些链接,诱使用户点击。这些都是XX银行的主面,如Http://www.bank-off-china.com,而真正的中国银行主页是:Http://www.bank-of-china.com,二者就差了一个字母f。点击后,用户进入的当然不是中国银行主页了,而是一个99%都像极了中国银行的主页,这是攻击者事先对中国银行的主页进行了COPY,再加上1%最关键也是惟一不同的地方,那就是设计上一个引诱用户输入账号及密码的文本框。如果你不幸照做了的话,它会接着弹出一个类似于网站正在升级维护、近期暂停服务、请原谅的欺骗性语言。此时,用户的账号及密码就会传到他们预定的邮箱中了。
还有李鬼工商银行:Http://www.1cbc.com.cn,真工商银行则为:Http://www.icbc.com.cn(把一个小写字母“i”用阿拉伯数字“1”代替);李鬼中国农业银行:Http://www.965555.com,真中国农业银行为:Http://www.95599.com(一不小心就会上了鬼子的当)。这三个例子都不是笔者随意杜撰的,而是真实地发生在我们周围,所以大家上网一定要小心谨慎。
二、为了防止被网络钓鱼,我们必须要采取一些措施。在此,笔者提几条建议:
1.正版防火墙+正版杀毒软件。要保证监控有效,一旦发现被关闭(杀死进程)要立即断开网络再查找原因。而且,版本要新,升级要及时。
2.对QQ、MSN、UC及泡泡等即时通软件发来的网址,不管它有多大的迷惑性,也不管是哪个好友的,一定要三思而后点。因为你的好友不一定知道这是个陷阱,或者他的号码已经被盗等,还记得QQ尾巴病毒吧?!
3.E-mail附件。即使表面上看它是一个文本或影音文件,但背后可能是隐藏扩展名的木马盗号程序或用文件合并器之类的工具捆绑过后门程序等,一定要防。
4.不管是谁向你索要账号与密码等信息,一定要坚决地说“不!”,99%这是披着羊皮的狼。
5.随时关心最新网络的安全话题,经常要到杀毒厂商的网站转转,比如江民、瑞星及金山毒霸等。看看是否自己正在使用的操作系统近期又暴露出什么漏洞,要赶快打补丁。或者有没有最新的XX病毒专杀工具或XX免疫程序等。
6.尽量熟悉自己使用的操作系统内的正常进程,包括名称和作用,特别要注意一些在名称上玩儿花样的手段(比如上文中的字母“l”与数字“1”),时常要检查一下有无内奸。可以用扫描工具(像X-Scan、流光、SuperScan等)对自己扫描,看看有无安全隐患,是否开了些不必要的端口等。如果看到自己的机器开了7626端口,那么恭喜你,你100%是中了冰河的招了。
三、URL欺骗
与网络钓鱼密不可分的当数URL了,即“UniformResourceLocators”,意为“统一资源定位器”。举例:我们要进入搜狐网站,只须在IE等浏览器的地址栏中输入“Http://www.sohu.com”(不包括两侧引号,下同)并回车即可。地址栏中的网址就属于URL,但这里面也有不少猫腻,那就是“URL欺骗”,比如前几年曾颇为流行的QQ尾巴病毒。
1.URL欺骗的惯用招式
URL欺骗的方法有多种多样,比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼,还有漏洞百出的“%30%50”之类的Unicode编码等等。而其中最惯用的招式莫过于以下两个:
①.@标志过滤用户名的解析
本来@标志是E-mail地址的用户名与主机的分隔符,但在URL中同样适用,而且功能如出一辙。HTTP(超文本传输协议)规定的URL完整格式是“Http://Name:Password@IP地址或主机名”,其中的“IP地址或主机名”是必填项,也是我们所最熟悉的,就像刚才的“www.sohu.com”。@标志与其前面的“Name:Password”,意为“用户名:密码”,属于可选项。也就是说,在URL中真正起解析作用的网址是从@标志后面开始的,这就是欺骗原理。
举例:某QQ好友发给你一个说是有最新大片免费下载的地址——“Http://www.sohu.com@www.Trojan.com.cn/HuiGeZi_Server.exe”,你敢上去就点吗?的确,乍眼看上去是“www.sohu.com”——搜狐网站的链接,而实际上这儿的“www.sohu.com”只是个写成搜狐网址形式的Name——用户名(此处的密码为空),因为后面有@标志。而真正链接的网址却是“www.Trojan.com.cn/HuiGeZi_Server.exe”(这儿为了好理解,笔者杜撰了一个木马网站,其下有“灰鸽子”服务端),只要一点击就会被下木马。这个发来的URL其实完全等同于“Http:// www.Trojan.com.cn/HuiGeZi_Server.exe”,而与前面的用户名毫无关系,只是迷惑性可就大大提高了——因为大家都信任搜狐。即使没有这个用户名,也完全不影响浏览器对这个URL的解析,不信的话就在地址栏中随便写上个像是“Http://abcdefg@www.sohu.com”之类的URL再回车试试,还不是照样儿进入搜狐(如图1)?
②.十进制的IP地址
常见的IP地址包括四个字节,一般表示形式为“xxx.xxx.xxx.xxx”(x表示一个十进制数码),例如“61.135.132.12”。因为纯粹的数字IP地址过于抽象、难以记忆,所以采用域名服务DNS来与之对应。我们在浏览器地址栏中输入“Http://www.sohu.com”与“Http://61.135.132.12”的结果完全一样,都是访问搜狐网站,因为61.135.132.12就是搜狐域名www.sohu.com的IP地址(可以从DOS方式或CMD窗口中用Ping www.sohu.com来得到对应的IP地址,但搜狐的IP变化比较多)。不过,如果再试试“Http://1032291340”的话,结果一定会让许多人吃惊——仍然打开了搜狐网站!
为什么一个十进制数“1032291340”等同于一个IP地址“61.135.132.12”呢?其实刚才已经暗示过了,四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码,如果合在一起再转换成一个十进制数的话,答案就是1032291340。转换方法很简单,就是数制的“按权展开”:12×256^0+132×256^1+135×256^2+61×256^3=12+33792+8847360+1023410176=1032291340(基数为256,即2^8)。
明白了这个道理,我们再回头看看刚才例子中的“www.Trojan.com.cn/HuiGeZi_Server.exe”。如果说这种字母域名很容易暴露出一些蛛丝马迹的话,那么当把它对应的IP地址(假设为“61.135.132.13”,比搜狐的大1号吧)换算成一个十进制数,结果是1032291341,再结合@标志过滤用户的解析,欺骗性就又上了一个台阶——Http://www.sohu.com@1032291341。此时,还会有多少人会怀疑这个URL不是搜狐呢?
2.查源代码法防范URL欺骗
既然URL欺骗这么可怕,是不是说我们就只能坐以待毙了呢?其实,对付这些URL欺骗引诱人上当的恶意网站,只须一个最简单的招数即可奏效,那就是查看网页的源代码。当然,这需要有一点儿网页代码阅读的能力。
假设有人发过搜狐的URL——Http://www.sohu.com而事先我们又不知道它是否为URL欺骗的话,我们只须在浏览器地址栏中输入“View-Source:Http://www.sohu.com”并回车,系统就会调用记事本来打开这个URL的源代码(如图2)。接下来就是在其中搜索一下(可使用“编辑”-“查找”菜单)有没有像是Format之类的危险格盘命令。当然,查看源代码比较费时费力,但是非常保险,何况又能顺便学到人家的网页制作技术呢!
最后提一条宝贵的建议:如果一时疏忽漏过了Format命令,怎么办?最好事先把自己系统盘(一般为C盘)上的Format.com改一下名称,比如Format007.com,这样就安全多了。
一、常见的网络钓鱼方式有两种:
1.管理员式E-mail法
不少用户收到一些看似自己注册E-mail网站管理者的来信,比如发信人把自己伪装成sohu_master@sohu.com,信的内容则充分利用了社会工程心理学的知识来骗取用户的信任,比如:
“亲爱的XXX搜狐用户:
由于系统升级的原因,我们近期准备对所有的用户信箱进行扩容、提速整理。请务必在收到此信后3天内将您的账号及密码回复给我们,由此给您带来的麻烦及种种不便,敬请原谅,多谢您的真诚合作!
SOHU管理员MASTER”
当用户按来信的要求回复后,就等于把自己的账号和密码拱手让人了。千万记住一点:任何E-mail管理者都不会向用户索取账号和密码!类似的还有通过QQ甚至手机短信来诈骗,好多人的QQ号也会因此而不翼而飞了。
2.李鬼Web银行页面
这是对用户造成经济损失最大的恶劣手段,攻击者通过各种传播方式给用户一些链接,诱使用户点击。这些都是XX银行的主面,如Http://www.bank-off-china.com,而真正的中国银行主页是:Http://www.bank-of-china.com,二者就差了一个字母f。点击后,用户进入的当然不是中国银行主页了,而是一个99%都像极了中国银行的主页,这是攻击者事先对中国银行的主页进行了COPY,再加上1%最关键也是惟一不同的地方,那就是设计上一个引诱用户输入账号及密码的文本框。如果你不幸照做了的话,它会接着弹出一个类似于网站正在升级维护、近期暂停服务、请原谅的欺骗性语言。此时,用户的账号及密码就会传到他们预定的邮箱中了。
还有李鬼工商银行:Http://www.1cbc.com.cn,真工商银行则为:Http://www.icbc.com.cn(把一个小写字母“i”用阿拉伯数字“1”代替);李鬼中国农业银行:Http://www.965555.com,真中国农业银行为:Http://www.95599.com(一不小心就会上了鬼子的当)。这三个例子都不是笔者随意杜撰的,而是真实地发生在我们周围,所以大家上网一定要小心谨慎。
二、为了防止被网络钓鱼,我们必须要采取一些措施。在此,笔者提几条建议:
1.正版防火墙+正版杀毒软件。要保证监控有效,一旦发现被关闭(杀死进程)要立即断开网络再查找原因。而且,版本要新,升级要及时。
2.对QQ、MSN、UC及泡泡等即时通软件发来的网址,不管它有多大的迷惑性,也不管是哪个好友的,一定要三思而后点。因为你的好友不一定知道这是个陷阱,或者他的号码已经被盗等,还记得QQ尾巴病毒吧?!
3.E-mail附件。即使表面上看它是一个文本或影音文件,但背后可能是隐藏扩展名的木马盗号程序或用文件合并器之类的工具捆绑过后门程序等,一定要防。
4.不管是谁向你索要账号与密码等信息,一定要坚决地说“不!”,99%这是披着羊皮的狼。
5.随时关心最新网络的安全话题,经常要到杀毒厂商的网站转转,比如江民、瑞星及金山毒霸等。看看是否自己正在使用的操作系统近期又暴露出什么漏洞,要赶快打补丁。或者有没有最新的XX病毒专杀工具或XX免疫程序等。
6.尽量熟悉自己使用的操作系统内的正常进程,包括名称和作用,特别要注意一些在名称上玩儿花样的手段(比如上文中的字母“l”与数字“1”),时常要检查一下有无内奸。可以用扫描工具(像X-Scan、流光、SuperScan等)对自己扫描,看看有无安全隐患,是否开了些不必要的端口等。如果看到自己的机器开了7626端口,那么恭喜你,你100%是中了冰河的招了。
三、URL欺骗
与网络钓鱼密不可分的当数URL了,即“UniformResourceLocators”,意为“统一资源定位器”。举例:我们要进入搜狐网站,只须在IE等浏览器的地址栏中输入“Http://www.sohu.com”(不包括两侧引号,下同)并回车即可。地址栏中的网址就属于URL,但这里面也有不少猫腻,那就是“URL欺骗”,比如前几年曾颇为流行的QQ尾巴病毒。
1.URL欺骗的惯用招式
URL欺骗的方法有多种多样,比如起个具有诱惑性的网站名称或使用易混的字母数字掉包进行银行网络钓鱼,还有漏洞百出的“%30%50”之类的Unicode编码等等。而其中最惯用的招式莫过于以下两个:
①.@标志过滤用户名的解析
本来@标志是E-mail地址的用户名与主机的分隔符,但在URL中同样适用,而且功能如出一辙。HTTP(超文本传输协议)规定的URL完整格式是“Http://Name:Password@IP地址或主机名”,其中的“IP地址或主机名”是必填项,也是我们所最熟悉的,就像刚才的“www.sohu.com”。@标志与其前面的“Name:Password”,意为“用户名:密码”,属于可选项。也就是说,在URL中真正起解析作用的网址是从@标志后面开始的,这就是欺骗原理。
举例:某QQ好友发给你一个说是有最新大片免费下载的地址——“Http://www.sohu.com@www.Trojan.com.cn/HuiGeZi_Server.exe”,你敢上去就点吗?的确,乍眼看上去是“www.sohu.com”——搜狐网站的链接,而实际上这儿的“www.sohu.com”只是个写成搜狐网址形式的Name——用户名(此处的密码为空),因为后面有@标志。而真正链接的网址却是“www.Trojan.com.cn/HuiGeZi_Server.exe”(这儿为了好理解,笔者杜撰了一个木马网站,其下有“灰鸽子”服务端),只要一点击就会被下木马。这个发来的URL其实完全等同于“Http:// www.Trojan.com.cn/HuiGeZi_Server.exe”,而与前面的用户名毫无关系,只是迷惑性可就大大提高了——因为大家都信任搜狐。即使没有这个用户名,也完全不影响浏览器对这个URL的解析,不信的话就在地址栏中随便写上个像是“Http://abcdefg@www.sohu.com”之类的URL再回车试试,还不是照样儿进入搜狐(如图1)?
②.十进制的IP地址
常见的IP地址包括四个字节,一般表示形式为“xxx.xxx.xxx.xxx”(x表示一个十进制数码),例如“61.135.132.12”。因为纯粹的数字IP地址过于抽象、难以记忆,所以采用域名服务DNS来与之对应。我们在浏览器地址栏中输入“Http://www.sohu.com”与“Http://61.135.132.12”的结果完全一样,都是访问搜狐网站,因为61.135.132.12就是搜狐域名www.sohu.com的IP地址(可以从DOS方式或CMD窗口中用Ping www.sohu.com来得到对应的IP地址,但搜狐的IP变化比较多)。不过,如果再试试“Http://1032291340”的话,结果一定会让许多人吃惊——仍然打开了搜狐网站!
为什么一个十进制数“1032291340”等同于一个IP地址“61.135.132.12”呢?其实刚才已经暗示过了,四位点分十进制形式的IP地址“61.135.132.12”代表一组32位二进制数码,如果合在一起再转换成一个十进制数的话,答案就是1032291340。转换方法很简单,就是数制的“按权展开”:12×256^0+132×256^1+135×256^2+61×256^3=12+33792+8847360+1023410176=1032291340(基数为256,即2^8)。
明白了这个道理,我们再回头看看刚才例子中的“www.Trojan.com.cn/HuiGeZi_Server.exe”。如果说这种字母域名很容易暴露出一些蛛丝马迹的话,那么当把它对应的IP地址(假设为“61.135.132.13”,比搜狐的大1号吧)换算成一个十进制数,结果是1032291341,再结合@标志过滤用户的解析,欺骗性就又上了一个台阶——Http://www.sohu.com@1032291341。此时,还会有多少人会怀疑这个URL不是搜狐呢?
2.查源代码法防范URL欺骗
既然URL欺骗这么可怕,是不是说我们就只能坐以待毙了呢?其实,对付这些URL欺骗引诱人上当的恶意网站,只须一个最简单的招数即可奏效,那就是查看网页的源代码。当然,这需要有一点儿网页代码阅读的能力。
假设有人发过搜狐的URL——Http://www.sohu.com而事先我们又不知道它是否为URL欺骗的话,我们只须在浏览器地址栏中输入“View-Source:Http://www.sohu.com”并回车,系统就会调用记事本来打开这个URL的源代码(如图2)。接下来就是在其中搜索一下(可使用“编辑”-“查找”菜单)有没有像是Format之类的危险格盘命令。当然,查看源代码比较费时费力,但是非常保险,何况又能顺便学到人家的网页制作技术呢!
最后提一条宝贵的建议:如果一时疏忽漏过了Format命令,怎么办?最好事先把自己系统盘(一般为C盘)上的Format.com改一下名称,比如Format007.com,这样就安全多了。